Portál AbcLinuxu, 5. května 2025 15:05

Dotaz: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."

9.8.2014 09:02 boycottsystemd | skóre: 8
Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."
Přečteno: 387×
Odpovědět | Admin
EFI multiboot W8, F20 a Ubuntu.

Zkousel jsem

yum reinstall grub2-efi shim

grub2-mkconfig -o /boot/grub2/grub.cfg

ve F20 a

sudo grub-install /dev/sda

sudo grub-install --recheck /dev/sda

sudo update-grub

v Ubuntu, ale nepomohlo to.

efibootmgr (F20):

BootCurrent: 0003

Timeout: 0 seconds

BootOrder: 0025,0003,0024,0002,0001,0000

Boot0000* HDD:

Boot0001* Fedora

Boot0002* ubuntu

Boot0003* Windows Boot Manager

Boot0004* HL-DT-ST DVDRAM GT90N Boot0005* Fedora

Boot0006* Fedora

Boot0007* Fedora

Boot0008* Fedora

Boot0009* Fedora

Boot000A* Fedora

Boot000B* Fedora

Boot000C* Fedora

Boot000D* Fedora

Boot000E* Fedora

Boot000F* Fedora

Boot0010* Fedora

Boot0011* Fedora

Boot0012* Fedora

Boot0013* Fedora

Boot0014* Fedora

Boot0015* Fedora

Boot0016* Fedora

Boot0017* Fedora

Boot0018* Fedora

Boot0019* Fedora

Boot001A* Fedora

Boot001B* Fedora

Boot001C* Fedora

Boot001D* Fedora

Boot001E* Fedora

Boot001F* Fedora

Boot0020* Fedora

Boot0021* Fedora

Boot0022* Fedora

Boot0023* Fedora

Boot0024* Fedora

Boot0025* Fedora

Nevi prosim nekdo co s tim ?
http://without-systemd.org/wiki/index.php/Main_Page https://twitter.com/systemdsucks
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

9.8.2014 09:54 boycottsystemd | skóre: 8
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."
Odpovědět | | Sbalit | Link | Blokovat | Admin
OPRAVA: W8 tam neni.
http://without-systemd.org/wiki/index.php/Main_Page https://twitter.com/systemdsucks
10.8.2014 08:32 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."

Předně by bylo dobré vědět, odkud ta hláška je: Od firmwaru? Od shimu? Od grubu?

S těmi W8 si nejsem jistý protože z výpisu bootovacích proměnných je vidět, že jste startoval přes položku 003, což je „Windows Boot Manager“.

Starší jádro vám naběhne? Na první pohled to vypadá, že nové jádro nebo initramdisk nejsou podepsány známým klíčem.

Každopádně podle pořadí zavaděčů (0025,0003,0024,0002,0001,0000), bych řekl, že před aktualizací, která vám přidala 0025, jste používal 003. Tedy že jste před tím vždy startoval přes „Windows Boot Manager“ a teprve až poslední aktualizace vám přidala 025 (přímý boot do Fedory). Spíš mi přijde, že jste do nedávna bootoval přes windowsí zavaděč a když jste smazal Windows, tak aktualizace něčeho (Fedory, Ubuntu) usoudila, že už stačí bootovat napřímo, jenže to vám nikdy nefungovalo.

Na konec můžete vypnout ověřování podpisů (secure boot) ve firmwaru.

10.8.2014 09:05 boycottsystemd | skóre: 8
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."

Předně by bylo dobré vědět, odkud ta hláška je: Od firmwaru? Od shimu? Od grubu?

Zobrazí se to hned po zapnutí / restartu NTB, místo boot menu (grubu), takže asi firmware.

S těmi W8 si nejsem jistý protože z výpisu bootovacích proměnných je vidět, že jste startoval přes položku 003, což je „Windows Boot Manager“.

Spletl jsem si to s jiným ntb. Tento byl koupenej jako novej, bez předinstalovaných Win. Byl tam jen nějakej linux. Místo něho jsem nainstaloval Ubuntu a později Fedoru. Sám nevím co tam dělá „Windows Boot Manager“. Že by kvůli EFI ?

Starší jádro vám naběhne? Na první pohled to vypadá, že nové jádro nebo initramdisk nejsou podepsány známým klíčem.

Když vypnu Secure Boot, tak se zobrazí nové boot menu, kde je jen Fedora (dají se spustit všechny kernely). Původní boot menu s Ubuntu se vůbec nezobrazí.

Každopádně podle pořadí zavaděčů (0025,0003,0024,0002,0001,0000), bych řekl, že před aktualizací, která vám přidala 0025, jste používal 003. Tedy že jste před tím vždy startoval přes „Windows Boot Manager“ a teprve až poslední aktualizace vám přidala 025 (přímý boot do Fedory). Spíš mi přijde, že jste do nedávna bootoval přes windowsí zavaděč a když jste smazal Windows, tak aktualizace něčeho (Fedory, Ubuntu) usoudila, že už stačí bootovat napřímo, jenže to vám nikdy nefungovalo.

Předtím jsem startoval přes boot menu, které tam nainstaloval buď Ubuntu nebo Fedora. Windowsy tam vůbec nebyly.
http://without-systemd.org/wiki/index.php/Main_Page https://twitter.com/systemdsucks
10.8.2014 09:36 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."
Zobrazí se to hned po zapnutí / restartu NTB, místo boot menu (grubu), takže asi firmware.

Podle zdrojáků shimu je ta zpráva z něj.

Spletl jsem si to s jiným ntb. Tento byl koupenej jako novej, bez předinstalovaných Win. Byl tam jen nějakej linux. Místo něho jsem nainstaloval Ubuntu a později Fedoru. Sám nevím co tam dělá „Windows Boot Manager“. Že by kvůli EFI ?

Já mám také UEFI stroj bez Winwdows a nikdy jsem tam takovou položku neměl.

Příkazem efibootmgr -v se můžete podívat, co se schovává pod jmenovkou „Windows Boot Manager“.

Když vypnu Secure Boot, tak se zobrazí nové boot menu, kde je jen Fedora (dají se spustit všechny kernely). Původní boot menu s Ubuntu se vůbec nezobrazí.

Buď máte hodně divný firmware, nebo si pletete Secure Boot a Compatibility Support Module. Vypnutí ověřování podpisů nemá vliv na obsah bootovacích proměnných.

10.8.2014 10:54 boycottsystemd | skóre: 8
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."

Příkazem efibootmgr -v se můžete podívat, co se schovává pod jmenovkou „Windows Boot Manager“.

F: [host@localhost ~]$ efibootmgr -v BootCurrent: 0003 Timeout: 0 seconds BootOrder: 0031,0003,0030,0002,0001,0000 Boot0000* HDD: HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\ubuntu\grubx64.efi)RC Boot0001* Fedora HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi) Boot0002* ubuntu HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\ubuntu\shimx64.efi) Boot0003* Windows Boot Manager HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\Microsoft\Boot\bootmgfw.efi)RC Boot0004* HL-DT-ST DVDRAM GT90N BIOS(3,500,00)(invalid optional data length) Boot0005* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0006* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0007* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0008* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0009* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot000A* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot000B* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot000C* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot000D* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot000E* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot000F* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0010* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0011* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0012* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0013* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0014* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0015* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0016* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0017* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0018* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0019* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot001A* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot001B* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot001C* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot001D* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot001E* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot001F* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0020* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0021* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0022* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0023* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0024* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0025* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0026* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0027* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0028* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0029* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot002A* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot002B* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot002C* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot002D* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot002E* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot002F* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0030* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi).. Boot0031* Fedora ACPI(a0341d0,0)PCI(1f,2)SATA(0,0,0)HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi)..

V Ubuntu to nepíše vůbec nic.

Buď máte hodně divný firmware, nebo si pletete Secure Boot a Compatibility Support Module. Vypnutí ověřování podpisů nemá vliv na obsah bootovacích proměnných.

Zkontroloval jsem to a opravdu tam je Secure Boot.
http://without-systemd.org/wiki/index.php/Main_Page https://twitter.com/systemdsucks
10.8.2014 13:25 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting." 
Boot0003* Windows Boot Manager HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\Microsoft\Boot\bootmgfw.efi)RC

Nebudu se s vámi hádat, ale soubor \EFI\Microsoft\Boot\bootmgfw.efi očividně pochází z Redmondu.

Všechny Boot0005 a vyšší jsou duplikáty a můžete je smazat (efibootmgr -B -b 5 atd.).

Je taky možné, že vám kvůli tolika proměnným došlo místo v UEFI NVRAM a při aktualizaci se vám vše nezaktualizovalo, jako mělo.

Nebo vám firmware při zaplnění proměnných zkolaboval a třeba přepsal něco, co neměl. Třeba důvěryhodné klíče secure bootu. UEFI firmware občas obsahuje chyby.

V Ubuntu to nepíše vůbec nic.

Pak Ubuntu nestartuje v režimu UEFI (nebo to tam mají rozbité). Hlášení jádra by vám potvrdilo, v jakém režimu je nabootováno.

To by vysvětlovalo, proč při „vypnutí secure bootu“ Ubuntu nevidíte. Při přepnutí do CSM se místo UEFI proměnných a ESP oddílu použije stínová MBR, kde třeba Ubutnu už záznam nemá.

11.8.2014 10:10 boycottsystemd | skóre: 8
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."

Všechny Boot0005 a vyšší jsou duplikáty a můžete je smazat (efibootmgr -B -b 5 atd.).

smazal jsem, ale nepomohlo to.
V Ubuntu to nepíše vůbec nic.
to bylo protože jsem to pouštěl bez sudo. Se sudo to funguje:

ntb@ntb-T:~$ sudo efibootmgr -v

BootCurrent: 0002

Timeout: 0 seconds

BootOrder: 0000,0002,0001

Boot0000* Windows Boot Manager HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\Microsoft\Boot\bootmgfw.efi)RC

Boot0001* HDD: HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\ubuntu\grubx64.efi)RC

Boot0002* ubuntu HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\ubuntu\shimx64.efi)

Boot0003* Windows Boot Manager HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\Microsoft\Boot\bootmgfw.efi)RC

Boot0004* HL-DT-ST DVDRAM GT90N

BIOS(3,500,00)................-...........A......#...................................

Boot0005* Fedora ACPI(a0341d0,0)PCI(1f,2)03120a00000000000000HD(1,800,f3800,bb2427db-4f3b-4ba5-a7d5-2878bbaf8a13)File(\EFI\fedora\shim.efi)..
http://without-systemd.org/wiki/index.php/Main_Page https://twitter.com/systemdsucks
10.8.2014 08:36 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."
Odpovědět | | Sbalit | Link | Blokovat | Admin
Doufám, že vám poradí tady ;)
10.8.2014 09:07 boycottsystemd | skóre: 8
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."
bylo by fajn kdyby někdo poradil :-)
http://without-systemd.org/wiki/index.php/Main_Page https://twitter.com/systemdsucks
10.8.2014 09:06 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Aktualizace Fedory 20: "Bootloader has not verified loaded image. System is compromised. Halting."
Odpovědět | | Sbalit | Link | Blokovat | Admin
A ještě je možné, že prostě vypršela platnost certifikátu použitého k podepsání zavaděče nebo jádra :D

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.